INT/1042
Generel forordning om databeskyttelse – supplerende procedureregler
UDTALELSE
Sektionen for Det Indre Marked, Produktion og Forbrug
Forslag til Europa-Parlamentets og Rådets forordning om supplerende procedureregler for håndhævelse af forordning (EU) 2016/679
[COM(2023) 348 final – 2023/0202 (COD)]
Ordfører: Katrīna Zariņa
|
Anmodning om udtalelse
|
Kommissionen, 13/11/2023
|
|
Retsgrundlag
|
Artikel 304 i traktaten om Den Europæiske Unions funktionsmåde
|
|
|
|
|
Kompetence
|
Sektionen for Det Indre Marked, Produktion og Forbrug
|
|
Vedtaget i sektionen
|
23/11/2023
|
|
Resultat af afstemningen
(for/imod/hverken for eller imod)
|
37/0/0
|
|
Vedtaget på plenarforsamlingen
|
DD/MM/YYYY
|
|
Plenarforsamling nr.
|
…
|
|
Resultat af afstemningen
(for/imod/hverken for eller imod)
|
…/…/…
|
1.Konklusioner og anbefalinger
1.1Det Europæiske Økonomiske og Sociale Udvalg (EØSU) bifalder generelt Kommissionens forslag om supplerende procedureregler for samarbejde mellem databeskyttelsesmyndigheder i EU's medlemsstater i forbindelse med grænseoverskridende situationer.
1.2EØSU mener, at forslaget er udarbejdet med den fornødne omhu for at øge inddragelsen af de registrerede personer i behandlingen af grænseoverskridende klager, og at det præciserer, hvilke oplysninger der skal fremlægges i forbindelse med indgivelsen af en klage, hvilket vil gøre proceduren mere smidig.
Efter EØSU's opfattelse er de forbedringer af lovgivningen, som Kommissionen foreslår, nødvendige, og de er håndgribelige tiltag til gavn for alle de berørte parter. For så vidt angår organisationer (virksomheder og institutioner) fastlægger de nye regler deres ret til en retfærdig procedure mere præcist, mens de for enkeltpersoner fremmer retten til at blive hørt under klageproceduren. For de myndigheder, som har ansvaret for at beskytte dataene, letter de nye regler samarbejdet og gør håndhævelsen af lovgivningen mere effektiv.
1.3I forbindelse med sine drøftelser er EØSU nået frem til, at medlemsstaternes databeskyttelsesmyndigheders kapacitet og resultater spiller en meget vigtig rolle for en effektiv behandling af grænseoverskridende sager. På den baggrund opfordrer EØSU medlemsstaterne til nøje at overvåge finansieringen af deres databeskyttelsesmyndigheder og styrke deres kapacitet, så enkeltpersoner og virksomheder kan nyde godt af al den støtte, de har brug for.
1.4EØSU mener, at dette forslag er egnet til at harmonisere gennemførelsen af artikel 60 i den generelle forordning om databeskyttelse (GDPR) i medlemsstaterne og til at præcisere procedurerne bedre. Forslaget harmoniserer for første gang afviklingen af proceduren for håndhævelse af GDPR på medlemsstatsniveau. Helt generelt glæder udvalget sig over de fremskridt, der gøres med hensyn til at harmonisere gennemførelsen af GDPR, samtidig med at der tages hensyn til forskellene mellem de nationale bestemmelser i medlemsstaterne. Desuden bifalder udvalget, at man bevæger sig i retning af en harmonisering af procedurerne, og opfordrer de berørte parter til at fortsætte indsatsen og så vidt muligt udvide harmoniseringen af de proceduremæssige skridt til alle proceduremæssige spørgsmål i forbindelse med håndhævelsen af GDPR.
1.5EØSU har formuleret en række tiltag, som efter udvalgets opfattelse kan forbedre Kommissionens forslag, og anbefaler, at forslaget præciseres og suppleres på følgende måde:
a)Der bør fastsættes mere præcise proceduremæssige frister og maksimale frister i forslaget, når det er muligt og hensigtsmæssigt.
b)Det bør klart angives over for medlemsstaternes databeskyttelsesmyndigheder, at de oplysninger, der skal indgå i klager, og som fremgår af bilaget til forslaget, udgør det minimum af oplysninger, som klageren skal give, men at det står hver enkelt databeskyttelsesmyndighed frit for at supplere dem med andre valgfrie sæt oplysninger, hvis det skønnes nødvendigt.
c)Medlemsstaternes databeskyttelsesmyndigheder bør have ret til at anvende det sprog, de finder mest hensigtsmæssigt for deres indbyrdes kommunikation, i forbindelse med behandlingen af en grænseoverskridende klage.
d)Det bør overlades til medlemsstaternes databeskyttelsesmyndigheder at beslutte, om de vil kontrollere klagerens identitet ved at anmode om, at klagen vedlægges en kopi af et identitetsdokument.
e)Klageformularen kunne forbedres ved at angive, at klageren har ret til at anmode om fortrolig behandling af de indsendte oplysninger.
f)Listen over identifikationsdokumenter kunne erstattes med en mere generel ordlyd i klageformularen, f.eks. "identifikationsdokument", som dækker alle typer af identifikationsdokumenter, der anses for acceptable i den pågældende medlemsstat, med det forbehold, at kørekort kun tillades som personlig identifikation i de medlemsstater, hvor det betragtes som et identifikationsdokument.
g)Det bør være et krav, at databeskyttelsesmyndighederne anvender alle de oplysninger, der kræves i formularen i bilaget til forslaget, og anser disse som tilstrækkelige, ikke blot til indgivelse af en klage vedrørende grænseoverskridende behandling, men også i tilfælde, hvor den grænseoverskridende behandling ikke umiddelbart har fundet sted.
h)Det bør defineres, hvordan forslaget skal finde anvendelse på landene i Det Europæiske Økonomiske Samarbejdsområde (EØS).
1.6EØSU henleder opmærksomheden på behovet for ved udarbejdelse, evaluering og overvågning af disse forslag i højere grad at inddrage arbejdsmarkedets parter og civilsamfundet i forbindelse med udarbejdelse af nye præciseringer og forslag. Et tæt samarbejde mellem parterne følger naturligt af princippet om god forvaltning, og det forbedrer den overordnede kvalitet af lovgivningen og effektiviteten af dens håndhævelse.
2.Generelle bemærkninger
2.1Kommissionen har udarbejdet et forslag til yderligere procedureregler for samarbejde mellem databeskyttelsesmyndigheder i EU's medlemsstater i forbindelse med grænseoverskridende situationer, som i øjeblikket behandles i artikel 60 i
den generelle forordning om databeskyttelse
(GDPR). Samtidig har Kommissionen udarbejdet en fælles klageformular for grænseoverskridende situationer, som er vedlagt som bilag til forslaget.
2.2Siden databeskyttelsesforordningen trådte i kraft i 2018, har overvågningen af GDPR påhvilet medlemsstaternes uafhængige databeskyttelsesmyndigheder. Det decentrale "one‑stop‑shop"‑håndhævelsessystem, der nævnes i forordningen, har til formål at sikre en ensartet fortolkning og anvendelse af GDPR, samtidig med at nærhedsprincippet holdes i hævd, således at enhver har mulighed for at kontakte sin lokale databeskyttelsesmyndighed og modtage et svar. I sådanne tilfælde gennemfører den "ledende" databeskyttelsesmyndighed (databeskyttelsesmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed) undersøgelsen og er forpligtet til at samarbejde med andre berørte databeskyttelsesmyndigheder i et forsøg på at nå til enighed (konsensus).
2.3Den ledende databeskyttelsesmyndighed bør udøve sin kompetence i tæt samarbejde med de øvrige berørte databeskyttelsesmyndigheder. Hvis databeskyttelsesmyndighederne ikke er i stand til at nå til enighed i en grænseoverskridende sag, indeholder GDPR bestemmelser om tvistbilæggelse i omtvistede spørgsmål, der rejses af Det Europæiske Databeskyttelsesråd, som er sammensat af lederne af databeskyttelsesmyndigheden i de enkelte medlemsstater og Den Europæiske Tilsynsførende for Databeskyttelse og har deltagelse af Kommissionen, i de såkaldte "relevante og begrundede indsigelser".
2.4Forslaget supplerer GDPR ved at præcisere procedurereglerne for de vigtigste faser af den undersøgelsesprocedure for klager, der er fastsat i GDPR. Forslaget har til formål at sikre en konsekvent anvendelse af GDPR i medlemsstaterne og løse problemer på flere områder. Iværksættelsen af procedurereglerne vil indebære et samspil med medlemsstaternes proceduremæssige rettigheder under (databeskyttelses-)myndigheden.
2.5For enkeltpersoner præciserer de nye regler, hvilke oplysninger der vil være nødvendige, når der indgives en klage, samtidig med at det sikres, at klageren inddrages i hele undersøgelsesproceduren. For virksomhedernes vedkommende præciseres deres ret til en retfærdig procedure, og for databeskyttelsesmyndighederne letter de nye regler samarbejdet og forbedrer effektiviteten af deres håndhævelse. Efter EØSU's opfattelse er disse forbedringer af lovgivningen nødvendige, og de er håndgribelige tiltag til gavn for alle de berørte parter.
2.6Registreredes rettigheder i grænseoverskridende situationer. Som det er nu, giver nogle databeskyttelsesmyndigheder klagerne samme rettigheder som de parter, der er genstand for en undersøgelse, mens andre ikke eller kun i meget begrænset omfang inddrager klagere i proceduren. Nogle databeskyttelsesmyndigheder træffer formelle afgørelser om afvisning af alle klager, der ikke følges op på, mens andre databeskyttelsesmyndigheder undlader at gøre det. Disse forskelle betyder, at klagebehandlingen og inddragelsen af klagerne varierer, alt efter hvilken medlemsstat klagen indgives i, eller hvilken databeskyttelsesmyndighed der er den ledende databeskyttelsesmyndighed i en given sag. Resultatet bliver, at disse forskelle forsinker afslutningen af undersøgelsen og den registreredes adgang til retsmidler i grænseoverskridende sager. Forslaget har til formål at mindske disse forskelle og fremme en fælles tilgang til dette spørgsmål i medlemsstaterne. Forslaget giver klageren nye proceduremæssige rettigheder, der i alle medlemsstater svarer til hinanden, og som indtil nu ikke har været garanteret.
2.7Databeskyttelsesmyndighederne har på nuværende tidspunkt forskellige fortolkninger af kravene til klagens indhold, klagernes deltagelse i proceduren og afvisningen af klager. Klager, der accepteres af nogle databeskyttelsesmyndigheder, kan afvises af andre med den begrundelse, at de ikke indeholder tilstrækkelige oplysninger. Ud over de rettigheder og forpligtelser, der er forbundet med proceduren, indeholder forslaget derfor bestemmelser om indførelse af en fælles klageformular, som indeholder de oplysninger, der kræves for enhver klage, der indgives til en databeskyttelsesmyndighed.
2.8Proceduremæssige rettigheder for parter, der er genstand for en undersøgelse. Forslaget indeholder bestemmelser om målrettet harmonisering af proceduremæssige rettigheder i grænseoverskridende situationer. Det giver de parter, der er genstand for en undersøgelse, ret til at blive hørt i procedurens vigtigste faser, bl.a. under Det Europæiske Databeskyttelsesråds tvistbilæggelse, og præciserer bestemmelserne om indholdet af de administrative sagsakter og parternes ret til aktindsigt. Forslaget styrker på denne måde parternes ret til et forsvar og sikrer konsekvent overholdelsen af disse rettigheder, uanset hvilken databeskyttelsesmyndighed der leder undersøgelsen.
2.9EØSU glæder sig over, at forslaget giver de økonomiske aktører større proceduremæssig sikkerhed, samtidig med at deres ret til at blive hørt i de vigtigste undersøgelsesfaser udvides. Udvalget henleder dog opmærksomheden på, at medlemsstaternes retssystemer er forskellige, hvilket kan hindre en korrekt anvendelse af de løsninger, der indføres med forslaget.
2.10Samarbejde mellem databeskyttelsesmyndigheder og tvistbilæggelse i Det Europæiske Databeskyttelsesråd. Artikel 60 i GDPR beskriver den procedure, som databeskyttelsesmyndighederne skal følge, når de samarbejder i grænseoverskridende sager, men gør det ikke i tilstrækkelig detaljeret grad. I grænseoverskridende sager skal databeskyttelsesmyndighederne udveksle "relevante oplysninger" i et forsøg på at nå til enighed. Når den ledende databeskyttelsesmyndighed forelægger et udkast til afgørelse, har andre databeskyttelsesmyndigheder mulighed for at fremsætte "relevante og begrundede indsigelser", som giver mulighed for at bilægge tvisten. Selv om tvistbilæggelsesproceduren i artikel 65 i GDPR udgør et væsentligt element med henblik på at sikre en konsekvent fortolkning af GDPR, bør den forbeholdes ekstraordinære tilfælde, hvor samarbejde mellem databeskyttelsesmyndighederne ikke har ført til konsensus.
2.11Kommissionens erfaringer med håndhævelsen af GDPR i grænseoverskridende sager viser, at samarbejdet mellem databeskyttelsesmyndighederne er utilstrækkeligt, inden den ledende databeskyttelsesmyndighed forelægger et udkast til afgørelse. Dette er grunden til, at forslaget indeholder en målrettet harmonisering af de proceduremæssige rettigheder i grænseoverskridende sager. Forslaget giver databeskyttelsesmyndighederne de værktøjer, der er nødvendige for at opnå konsensus, ved at give kravet om, at databeskyttelsesmyndighederne skal samarbejde og dele "relevante oplysninger", jf. artikel 60 i GDPR, mere indhold. Med dette forslag fastlægges der en ramme, der gør det muligt for alle databeskyttelsesmyndigheder at påvirke en grænseoverskridende sag på en meningsfuld måde ved at fremsætte deres synspunkter tidligt i undersøgelsesproceduren og gøre brug af alle værktøjer i GDPR.
2.12Forslaget indeholder krav til formen og strukturen af de "relevante og begrundede indsigelser" fra de berørte databeskyttelsesmyndigheder og letter dermed alle databeskyttelsesmyndigheders effektive deltagelse og en målrettet og hurtig bilæggelse af sagen. Forslaget fastsætter procedurereglerne for afvisning af klager i grænseoverskridende sager og præciserer i sådanne tilfælde de respektive roller for den ledende databeskyttelsesmyndighed og den databeskyttelsesmyndighed, hvortil klagen indgives. Indholdet af de administrative sagsakter og borgernes ret til aktindsigt er også præcist beskrevet. I forslaget lægges der vægt på betydningen og lovligheden af mindelig bilæggelse af klagesager.
3.Særlige bemærkninger
3.1Selv om et af forslagets vigtigste mål er at etablere en proceduremæssig ramme for behandling af tvister mellem databeskyttelsesmyndigheder i forbindelse med grænseoverskridende databehandling, og det indeholder flere proceduremæssige frister, er sidstnævnte ofte vage eller ikke underlagt en maksimal tidsfrist (jf. f.eks. artikel 8, stk. 1, artikel 12, stk. 2, artikel 14, stk. 4, og artikel 17, stk. 2). For at nå forslagets mål om at opnå en hurtigere og mere gennemsigtig proces og samtidig sikre, at klageren og den part, mod hvem der er indledt en procedure, kan påberåbe sig GDPR samt de proceduremæssige ordninger, der er fastsat i forslaget, anbefaler EØSU, at der fastsættes præcise frister og maksimale frister i de relevante artikler i forslaget, når det er muligt, og så længe en sådan frist bidrager til procedurens effektivitet.
3.2I henhold til forslagets artikel 3, stk. 5, kan klageren anmode om fortrolig behandling af oplysningerne i klagen, men bilaget til forslaget (klageformularen) indeholder ingen henvisning til en sådan ret. Da enkeltpersoner ikke forventes at kunne håndtere alle de juridiske nuancer i databeskyttelseslovgivningen, herunder retten til på et hvilket som helst tidspunkt i proceduren at anmode om fortrolig behandling af oplysninger, anbefaler EØSU, at formularen udfyldes med oplysninger om den ret, der er fastsat i artikel 3, stk. 5, således at klageren kan anmode om fortrolig behandling af oplysningerne i klagen.
3.3I forslagets artikel 11, 12 og 13 fastsættes klagerens ret til at blive hørt af databeskyttelsesmyndigheden som led i den internationale samarbejdsproces. I lyset af den fælles udtalelse fra Det Europæiske Databeskyttelsesråd og Den Europæiske Tilsynsførende for Databeskyttelse om forslaget, hvor der i kapitel 8 foretages en detaljeret analyse, der er fælles for de to parter, af de konstaterede mangler i forslaget – klagerens muligheder for at udøve proceduremæssige rettigheder i henhold til de forskellige mulige scenarier, i forbindelse med hvilke en klage i henhold til GDPR kan behandles – og under hensyntagen til medlemsstaternes databeskyttelsesmyndigheders forskellige praksis med hensyn til inddragelse af klageren i procedurerne, anbefaler EØSU, at det i de relevante artikler præciseres, hvordan klagernes rettigheder kan udøves, således at deres gennemførelse bidrager til en effektiv behandling af disse grænseoverskridende klager.
3.4I henhold til forslagets artikel 6, stk. 1, er den tilsynsmyndighed, som klagen er indgivet til, ansvarlig for at oversætte klagen og klagerens synspunkter til det sprog, som den ledende databeskyttelsesmyndighed anvender, inden de meddeles sidstnævnte, samt for oversættelsen af de dokumenter, som den ledende databeskyttelsesmyndighed har modtaget, til et sprog, som klageren forstår. Da databeskyttelsesmyndighederne hovedsagelig rapporterer på engelsk, mens flertallet af medlemsstaternes databeskyttelsesmyndigheder anvender det eller de officielle sprog i de enkelte berørte medlemsstater som kommunikationssprog, bør det præciseres, om oversættelsen af dokumenter og andre oplysninger, der skal fremsendes til databeskyttelsesmyndigheden til internt brug, skal foretages til medlemsstatens sprog, eller om tilsynsmyndighederne kan anvende den tidligere praksis med at aftale et fælles kommunikationssprog for alle tilsynsmyndigheder.
3.5Samtidig mener EØSU, at oversættelse af dokumenter til et sprog, som klageren forstår, nemlig den pågældende medlemsstats nationale sprog, fortjener fuld støtte for at sikre klagerens ret til at kommunikere med myndighederne på et sprog, som vedkommende forstår.
3.6Dog er EØSU bekymret over, at forpligtelsen til at fremlægge en oversættelse af klagen og alle modtagne dokumenter kan pålægge databeskyttelsesmyndighederne en uforholdsmæssig stor administrativ byrde. Udvalget frygter også, at den databeskyttelsesmyndighed, der står for oversættelsen, i tilfælde, hvor oversættelsen ikke sker til engelsk, ikke vil være i stand til at sikre den krævede kontrol af dens nøjagtighed. De udtryk, der anvendes på databeskyttelsesområdet, er ofte af teknisk karakter, og manglende præcision eller kontrol med deres oversættelse kan føre til misforståelser omkring de pågældende faktiske omstændigheder. Dette indebærer en risiko for, at den ledende databeskyttelsesmyndighed ikke bliver informeret på en tilstrækkelig objektiv og udtømmende måde om indholdet af den indgivne klage og de faktuelle oplysninger, den er baseret på. I henhold til databeskyttelsesmyndighedens nuværende praksis på dette område bemærker EØSU, at medlemsstaternes databeskyttelsesmyndigheder i tilfælde af grænseoverskridende overtrædelser ofte er enige om at anvende engelsk til deres indbyrdes kommunikation. De oplysninger, som EØSU har indsamlet, viser, at databeskyttelsesmyndighederne hidtil har anvendt maskinoversættelsesværktøjer til hurtigt at oversætte de dokumenter, de udveksler med deres kolleger, med et minimalt ressourceforbrug til følge. Professionelle oversættelsestjenester anvendes dog til at oversætte endelige afgørelser.
3.7EØSU finder, at et sådant krav om oversættelse fra (og til) flere sprog for udveksling af dokumenter mellem databeskyttelsesmyndigheder er for vidtgående, da det medfører unødvendige udgifter for institutioner, virksomheder og samfundet. Udvalget anbefaler, at de berørte databeskyttelsesmyndigheder får mulighed for at nå til enighed om brugen af et sprog, der er forståeligt for alle de databeskyttelsesmyndigheder, som er involveret i behandlingen af en grænseoverskridende tvist, og aktivt kan udnytte de muligheder, som digitale teknologier, kunstig intelligens og maskinoversættelse giver.
3.8I forslagets artikel 31 fastsættes det, at den nye forordning gælder umiddelbart i alle medlemsstater. Da GDPR også finder anvendelse på lande i Det Europæiske Økonomiske Samarbejdsområde (EØS), synes det med henblik på at sikre en fælles tilgang til anvendelsen af GDPR samt et effektivt samarbejde mellem databeskyttelsesmyndighederne i EØS og EU i forbindelse med behandlingen af grænseoverskridende klager nødvendigt at præcisere, at forslaget også vil finde anvendelse på disse lande.
3.9Klageformularen indeholder en procedure til identifikation af den registrerede, der nødvendiggør, at den registrerede indgiver et identitetsdokument (sandsynligvis en papirkopi eller en elektronisk kopi, og ikke en original). I nogle medlemsstater har klageproceduren hidtil ikke omfattet et krav om at identificere personen, og myndighederne har antaget, at de oplysninger, klageren giver om sin identitet, er korrekte. Medlemsstaternes databeskyttelsesmyndigheder har forskellig praksis med hensyn til, om de kontrollerer klagerens identifikationsdokument efter modtagelse af en klage. Nogle af medlemsstaternes databeskyttelsesmyndigheder anvender i modsætning til andre en sådan praksis. Hvis databeskyttelsesmyndigheder, der hidtil ikke har anvendt en sådan procedure, pålægges denne forpligtelse, kan det føre til yderligere administrative byrder og yderligere informationssikkerhedsrisici som følge af krav til sikker fremsendelse og opbevaring af identifikationsdokumenter fra databeskyttelsesmyndighedernes side. Dette synspunkt fremgår ligeledes af den fælles udtalelse fra Det Europæiske Databeskyttelsesråd og Den Europæiske Tilsynsførende for Databeskyttelse om forslaget. EØSU anbefaler, at det overlades til de enkelte databeskyttelsesmyndigheder at beslutte, om de vil fortsætte en sådan praksis eller ej.
3.10Desuden hedder det i fodnote 2 i bilaget, at identifikationsdokumentet f.eks. kan være "et pas, kørekort eller nationalt identitetskort." Der er imidlertid forskelle i medlemsstaternes analyse af, om et kørekort udgør et officielt identifikationsdokument eller ej. I Letland er dette f.eks. ikke tilfældet. Hvis Kommissionen imidlertid beslutter at opretholde forpligtelsen til at identificere klageren, anbefaler EØSU, at listen erstattes af en mere generel formulering såsom "identifikationsdokument", så den omfatter alle typer af identifikationsdokumenter, der anses for acceptable i den pågældende medlemsstat, eller at der tilføjes "kørekort (kun for medlemsstater, hvor kørekort betragtes som et personligt identifikationsdokument)" til listen over eksisterende identifikationsdokumenter.
3.11På samme måde er det fastsat, at formularen med de oplysninger, som klageren skal give i forbindelse med en eventuel grænseoverskridende klage, skal fremgå af bilaget. Ligeledes fremgår det af forslagets artikel 3, stk. 2, at "den tilsynsmyndighed, til hvilken klagen er indgivet, fastslår, om klagen vedrører grænseoverskridende behandling". Dette kan både føre til situationer, hvor den indgivne klage alligevel ikke vedrører grænseoverskridende behandling, eller hvor formularen ikke er blevet anvendt, men hvor den grænseoverskridende behandling er blevet foretaget, uden at klageren er klar over det eller har fået mulighed for at identificere sig selv. For at undgå sådanne situationer og ubegrundede forsinkelser i proceduren på grund af utilstrækkelige oplysninger vil det være ønskeligt, at databeskyttelsesmyndighederne anvender alle de oplysninger, der skal angives i formularen i bilaget til forslaget, og anser dette som tilstrækkeligt, ikke blot til indgivelse af en klage vedrørende grænseoverskridende behandling, men også i tilfælde, hvor den grænseoverskridende behandling ikke umiddelbart har fundet sted. Der er også behov for at kommunikere klart med medlemsstaternes databeskyttelsesmyndigheder, om at de har ret til at tilføje yderligere spørgsmål til bilaget. Hvis klageren ikke kan besvare dem, kan dette dog ikke udgøre en hindring for, at klagen kan tages til følge.
Bruxelles, den 23. november 2023
Sandra Parthie
Formand for Sektionen for Det Indre Marked, Produktion og Forbrug
_____________
